Oracle iPlanet: Forskere fant datalekkasje og phishing i webservere

Oracle iPlanet

Teknologi

Forskere graver dypt og fant noen sårbarheter og datalekkasjer i webservere til Oracle iPlanet. Feilene oppdaget som CVE-2020-9315 og CVE-2020-9314. Begge de avslørte sikkerhetsbruddene tillater eksponering av sensitive data. Tross alt ble problemene funnet i 2019 19. januar. Det var i administrasjonskonsollen til Oracles serveradministrasjonssystem.

iPlanet-sikkerhetsbruddene gjort av de to feilene

Den første sikkerhetsfeilen som er CVE-2020-9315 tillot at alle sider ble lest i konsollen. Tross alt var det mulig bare ved å erstatte admin GUI URL for målsiden. Ifølge forskere kan dette være en årsak til lekkasjen av sensitive data. Utover det inkluderte den også krypteringsnøkler og konfigurasjonsdetaljer.

CVE-2020-9314 var den andre sikkerhetsfeilen som ble oppdaget. Det ble oppdaget i konsollen på productNameSrc. Denne parameteren ble misbrukt med productNameHeight og productNameWidth. Dette bruddet skjedde på grunn av en ufullstendig løsning for en annen feil CVE-2020-9316.

Les også Google: Google Duo legger til en 'familiemodus' og nettbaserte gruppesamtaler

CVE-2020-9316 er et uspesifisert sikkerhetsproblem som har XSS-valideringsproblemer. Tross alt ble disse parameterne misbrukt ved å injisere bilder i domenet for phishing og sosial ingeniørkunst. Dette betyr imidlertid ikke at de tidligere versjonene av applikasjonene er berørt. Det kan være at Oracle iPlanet Web Server 7.0.x bare er berørt.

Det er imidlertid ingen planer om å fikse disse problemene. Fordi iPlanet Web Server 7.0.x ikke lenger støttes i Oracle. Så selskapet bryr seg ikke om noen av de fremtidige problemene. Det betyr at hvis noen selskaper bruker denne gamle versjonen. De bedre begrense nettverkstilgang eller gjøre en oppgradering er den eneste tingen å gjøre.

Les også Twitter: Twitter tester en ny layout som vil gjøre det enklere å lese samtaler

Les også WhatsApp-grupper: Søkemotorer fant indekseringslenker til private WhatsApp-grupper

Dele: